Поиск папок, в которые есть доступ у пользователя

@MGarry · Регистрация: 28.07.2015

Студворк — интернет-сервис помощи студентам

Добрый день.
Возникла необходимость узнать куда пользователь имеет доступ на сервере (файловая система).
Покопавшись в Инете нашел вот такой скрипт Powershell

PowerShell
1
2
$username = "Пользователь"
Get-ChildItem "\\server\корневая папка" -Recurse -Depth 3 -Directory | Get-Acl | Where-Object { $_.SDDL -match (New-Object System.Security.Principal.NTAccount($UserName)).Translate([System.Security.Principal.SecurityIdentifier]).Value }

Отсюда я могу вытянуть адреса к которым пользователь имеет доступ, но вот вытянуть уровень этого доступа и свести все в одну таблицу никак не выходит.

Я вижу что нужная мне инфа есть в свойстве $_.accesstostring Но вот как то вытянуть оттуда (а там массив) именно доступ моего пользователя не получается.

В итоге хочу получить следующее
Путь к папке | Уровень доступа
Путь к папке | Уровень доступа
Путь к папке | Уровень доступа

Есть идеи?

@KDE777 · 31.05.2018, 15:10

Сообщение от MGarry

Есть идеи?

Есть пара скриптов, которые решают подобную задачу. Думаю, что в них найдётся всё что вам нужно.

Пример 1

Кликните здесь для просмотра всего текста

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
$Folder = '\\server\share'
$DataFile = 'c:\Data\AccessList.csv'
 
Set-Content -Value 'Path;AccessRights;AccessType;Scope;Inherited;Name;CanonicalName;PostalCode;City;Department' -Path $DataFile -Encoding UTF8
 
$domain = (Get-ADDomain).name.ToUpper()
$DomainSample1 = $domain + '\\'
$DomainSample2 = $domain + '\'
 
$Folder_ACL = Get-Acl -Path $Folder
 
$Access_List = $Folder_ACL.Access | ?{ $_.IdentityReference -match $DomainSample1}
 
foreach ($Access in $Access_List)
{
 
#
# начало разбора разрешений
#
 
$Rights = $Access.FileSystemRights.ToString()
$IFlag = $Access.InheritanceFlags.ToString()
$PFlag = $Access.PropagationFlags.ToString()
 
# тип доступа
 
$AccessType = $Access.AccessControlType.ToString()
 
# назначенные права доступа
# https://msdn.microsoft.com/ru-ru/library/system.security.accesscontrol.filesystemrights(v=vs.90).aspx
 
if (($Rights -eq "ReadAndExecute, Synchronize") -and ($IFlag -eq 'ContainerInherit, ObjectInherit')) {$AccessRights = "Read"}
elseif (($Rights -eq "ReadAndExecute, Synchronize") -and ($IFlag -notlike '*ObjectInherit*')) {$AccessRights = "ViewOnly"}
elseif ($Rights -eq "Modify, Synchronize") {$AccessRights = "ReadWrite"}
elseif ($Rights -eq "FullControl") {$AccessRights = "Full"}
else {$AccessRights = $Rights}
 
# Наследование
 
if ($Access.IsInherited) {$Inherited = 'Наследованы'}
else {$Inherited = 'Заданы явно'}
 
# Область действия разрешений
 
if ($IFlag -eq 'None' -and $PFlag -eq 'None') {$Scope = "Только для этой папки"}
if ($IFlag -eq 'ContainerInherit, ObjectInherit' -and $PFlag -eq 'None') {$Scope = "Для этой папки, её подпапок и файлов"}
if ($IFlag -eq 'ContainerInherit, ObjectInherit' -and $PFlag -eq 'InheritOnly') {$Scope = "Только для подпапок и файлов"}
if ($IFlag -eq 'ContainerInherit' -and $PFlag -eq 'None') {$Scope = "Для этой папки и её подпапок"}
if ($IFlag -eq 'ObjectInherit' -and $PFlag -eq 'None') {$Scope = "Для этой папки и её файлов"}
if ($IFlag -eq 'ContainerInherit' -and $PFlag -eq 'InheritOnly') {$Scope = "Только для подпапок"}
if ($IFlag -eq 'ObjectInherit' -and $PFlag -eq 'InheritOnly') {$Scope = "Только для файлов"}
 
#
# конец разбора разрешений
#
 
$name = $Access.IdentityReference.Value.ToString().Replace($DomainSample2,'')
 
$ADObject = Get-ADObject -Filter{SamAccountName -eq $name}
$AccessData = $Folder,$AccessRights,$AccessType,$Scope,$Inherited -join ';'
 
if ($ADObject.ObjectClass -eq 'group')
    {
    $ADGroup = Get-ADGroup -Identity $ADObject.DistinguishedName -Properties *
    $data = $AccessData,$ADGroup.Name,$ADGroup.CanonicalName -join ';'
    }
if ($ADObject.ObjectClass -eq 'user')
    {
    $ADUser = Get-ADUser -Identity $ADObject.DistinguishedName -Properties *
    $data = $AccessData,`
        $ADUser.DisplayName,`
        $ADUser.CanonicalName,`
        $ADUser.PostalCode,`
        $ADUser.City,`
        $ADUser.Department `
        -join ';'
    }
    
Add-Content -Value $data -Path $DataFile -Encoding UTF8
}

Пример 2

Кликните здесь для просмотра всего текста

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
$RootPath = '\\server\share'
$AD_Domain = (Get-ADDomain).name
 
function New-Obj ($dir, $Obj, $name)
{
 
    $Obj = New-Object PSObject -Property @{
        "FullName" = "";
        "CreationTime" = "";
        "LastAccessTime" = "";
        "LastWriteTime" = "";
        "FileSystemRights" = "";
        "AccessControlType" = "";
        "IdentityReference" = "";
        "IsInherited" = "";
        "InheritanceFlags" = "";
    "PropagationFlags" = ""
    }
    
    $Obj.FullName = $dir.FullName
    $Obj.CreationTime = $dir.CreationTime.ToString()
    $Obj.LastAccessTime = $dir.LastAccessTime.ToString()
    $Obj.LastWriteTime = $dir.LastWriteTime.ToString()
 
    $Obj.FileSystemRights = $acl.FileSystemRights
    $Obj.AccessControlType = $acl.AccessControlType
    $Obj.IdentityReference = $name
    $Obj.IsInherited = $acl.IsInherited
    $Obj.InheritanceFlags = $acl.InheritanceFlags
    $Obj.PropagationFlags = $acl.PropagationFlags
    return $Obj
}
 
$list = @()
 
cls
foreach ($dir in Get-ChildItem $RootPath -Directory -Recurse)
{
 
 
foreach ($acl in (Get-Acl $dir.FullName).Access | ? IsInherited -EQ $false)
{
 
    $domain,$SamAccountName = $acl.IdentityReference.Value -Split '\\'
 
    if ($domain -eq $AD_Domain)
    {
        $Object = Get-ADObject -Filter {SamAccountName -eq $SamAccountName}
    
        if ($Object.ObjectClass -eq 'group')
        {
            foreach ($user in (Get-ADGroupMember $Object -Recursive).Name)
            {
                $list += New-Obj -dir $dir -acl $acl -name $user | select *
            }
        }
        else
        {
            $list += New-Obj -dir $dir -acl $acl -name $Object.Name | select *
        }
    }
 
}
 
 
}
 
$list | ft -a
#$list | Export-csv $CsvPath -Append -Encoding utf8 -Force -NoTypeInformation -Delimiter ";"

@MGarry · 31.05.2018, 15:20 **[ТС]**

Не разворачиваются объекты почему то.. Выложите в теле сообщения пожалуйста.

@KDE777 · 31.05.2018, 15:22

Сообщение от MGarry

Не разворачиваются объекты почему то..

Обновите страницу или перезапустите браузер...

@MGarry · 31.05.2018, 15:29 **[ТС]**

Это не совсем то, тут идет скорее инвентаризация доступов. Меня же интересует, чтобы я ввел имя пользователя и узнал куда он и какой доступ имеет.

@KDE777 · 31.05.2018, 15:36

Сообщение от MGarry

Это не совсем то, тут идет скорее инвентаризация доступов.

Добавьте для $Access.IdentityReference.Value.ToString () фильтр, выбирающий SamAccountName только нужного пользователя, но не забудьте, что доступ может быть и через членство в группе.

Сообщение от MGarry

куда он и какой доступ имеет

Как раз и показано, как это можно реализовать.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@MGarry 22 / 18 / 4 Регистрация: 28.07.2015 Сообщений: 167
	31.05.2018, 15:20 [ТС]
	Не разворачиваются объекты почему то.. Выложите в теле сообщения пожалуйста. 0

@MGarry 22 / 18 / 4 Регистрация: 28.07.2015 Сообщений: 167
	31.05.2018, 15:29 [ТС]
	Это не совсем то, тут идет скорее инвентаризация доступов. Меня же интересует, чтобы я ввел имя пользователя и узнал куда он и какой доступ имеет. 0